Algemene OpenSSL opdrachten

De volgende commando's laten zien hoe CSRs, Certificaten en Private Keys aangemaakt kunnen worden, plus nog enkele overige taken met OpenSSL. 

Genereer een nieuwe Private Key en een CSR (Unix)

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key

Genereer een nieuwe Private Key en een CSR (Windows)

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key -config .shareopenssl.cmf

Genereer een CSR voor een bestaande Private Key

openssl req -out CSR.csr -key privateKey.key -new

Genereer een CSR op basis van een bestaand Certificaat

openssl x509 -x509toreq -in MYCRT.crt -out CSR.csr -signkey privateKey.key

Genereer een self-signed Certificaat

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

Verwijder een wachtwoord bij een Private Key 

openssl rsa -in privateKey.pem -out newPrivateKey.pem

---

Controleer CSR, Private Key of Certificaat met OpenSSL

Gebruik de volgende commando's om de informatie te controleren van een Certificaat, een CSR of een Private Key. U kunt hiervoor ook onze online Tools gebruiken.

Controleer een CSR 

openssl req -text -noout -verify -in CSR.csr

Controleer een Private Key 

openssl rsa -in privateKey.key -check

Controleer een Certificaat

openssl x509 -in certificate.crt -text -noout

Controleer een PKCS#12 file (.pfx or .p12)

openssl pkcs12 -info -in keyStore.p12

---

Debugging met OpenSSL

Bij foutmeldingen zoals; de Private Key komt niet overeen met het Certificaat; of het Certificaat wordt niet vertrouwd; gebruik een van de volgende commando's. Gebruik ook onze online Site Check tool om een certificaat te controleren.  

Controleer de MD5 hash van de public key om na te gaan of het gelijk is aan wat in de CSR of private key staat.

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in privateKey.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5

Controleer een SSL verbinding. Alle certificaten (ook intermediate certificaten) moeten worden getoond.

openssl s_client -connect https://www.paypal.com:443

---

Certificaten converteren met OpenSSL

Onderstaande opdrachten zijn voor het converteren van het ene file formaat naar het andere, dit is soms nodig om de certificaten of private keys geschikt te maken voor verschillende type servers of software. Converteer bijvoorbeeld een PEM file voor Apache naar PFX (PCKS#12) voor gebruik met Tomcat of IIS.

Converteer een DER file (.crt .cer .der) naar PEM

openssl x509 -outform der -in certificate.cer -out certificate.der

openssl x509 -inform der -in certificate.der -out certificate.pem

Converteer een PEM file naar DER

openssl x509 -outform der -in certificate.pem -out certificate.der

Converteer een PKCS#12 file (.pfx .p12) bevattende de private key en certificaat(en) naar PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Voeg toe -nocerts om alleen de private key om te zetten, of voeg toe -nokeys om alleen de certificaten om te zetten.

Converteer een PEM certificaat file en een private key naar PKCS#12 (.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt